我需要知道进程使用的所有内存地址空间。稍后将扫描存储空间以定位过程中的值并识别它们的位置/地址。我目前的流程是通过其(基址+内存大小)获取每个模块的基址。
我正在一个已知地址已知值的进程上对此进行测试。当我查找该特定地址时,我得到了我期望的值。但是,当我扫描(我相信是)进程使用的所有地址空间时,我无法在任何地方找到该值。
我知道 0x0CF8DC38 和 0x0CF8DDDC 存在数值“4143000”。当我调用 ReadMemoryBytes(module,module.BaseAddress,4,(IntPtr)(0x0CF8DC38))时,我返回字节(152,55,63,0)。当我调用BitConverter.GetBytes(4143000)时,我得到了相同的字节集。当我在该进程上使用不同的内存扫描程序时,我会在这些地址找到该值。
然而,当我扫描“已知地址”时,我在任何地方都找不到这个值。看起来我的代码甚至找不到进程使用的那些地址。
因此,我的问题有两个:
// (in the calling method)
foreach (ProcessModule module in process.Modules) {
ParameterizedThreadStart pst = new ParameterizedThreadStart(p => SearchModule(module, value));
Thread t = new Thread(pst);
t.Start(); }
private unsafe void SearchModule(ProcessModule module, string value)
{
Process process = getProcess;
int iVal;
double dVal;
int.TryParse(value, out iVal);
double.TryParse(value, out dVal);
for (Int64 addr = (Int64)module.BaseAddress; addr + value.Length < (Int64)module.BaseAddress + module.ModuleMemorySize; addr++)
{
// Compare ints
if (iVal > 0)
{
byte[] ExpectedBytes = BitConverter.GetBytes(iVal);
byte[] ActualBytes = ReadMemoryBytes(module, (IntPtr)addr, (uint)ExpectedBytes.Length, (IntPtr)addr);
bool isMatch = true;
for (int i = 0; i < ExpectedBytes.Length; i++)
if (ExpectedBytes[i] != ActualBytes[i])
isMatch = false;
if (isMatch)
PossibleAddresses.Add((IntPtr)addr);
}
}
private byte[] ReadMemoryBytes(ProcessModule mod, IntPtr memAddress, uint size, IntPtr BaseAddress)
{
byte[] buffer = new byte[size];
IntPtr bytesRead;
unsafe
{
ReadProcessMemory(processPointer, BaseAddress, buffer, size, out bytesRead);
return buffer;
}
}
[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(UInt32 dwDesiredAccess, Int32 bInheritHandle, UInt32 dwProcessId);
[DllImport("kernel32.dll")]
public static extern Int32 CloseHandle(IntPtr hObject);
[DllImport("kernel32.dll")]
public static extern Int32 ReadProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [In, Out] byte[] buffer, UInt32 size, out IntPtr lpNumberOfBytesRead);
答案 0 :(得分:1)
您获得的地址是托管(CLR)堆的指针。它们通常不会映射到绝对存储器地址,并且它们可以在GC决定运行时从一个调用移动到另一个调用。
如果您使用“不安全”代码,您可以获得相对指针以及管理自己的内存空间。它仍然在堆上,但至少你保证GC不会修改你的地址空间。
不要期望能够在没有大量包装的情况下从非CLR代码访问堆上的东西。有一些方法可以在CLR管理的进程之间进行IPC,但如果您希望非CLR进程能够到达您的内存,则必须将访问代理写入“外部世界”。